目录
1、技术要点
1)服务账户分类:
- 计算机账户:Local System 或 NT AUTHORITY\SYSTEM
- 用户账户:域用户账户、本地用户账户
2)独立托管服务帐户(standalone Managed Service Account,sMSA)是一个托管域帐户,它提供自动密码管理、简化的服务主体名称(Service Principal Name,SPN)管理以及将管理委托给其他管理员的能力。此类型的托管服务帐户是在 Windows Server 2008 R2 和 Windows 7 中引入的。
3)组托管服务帐户(group Managed Service Account,gMSA)在域中提供相同的功能,但也在多个服务器上扩展了该功能。连接到服务器场中托管的服务(如网络负载均衡解决方案)时,支持相互身份验证的身份验证协议要求服务的所有实例使用相同的主体。将 gMSA 用作服务主体时,Windows 操作系统管理帐户的密码,而不是依赖管理员来管理密码。
4)故障转移群集不支持 gMSA。但是,如果在群集服务上运行的服务是 Windows 服务、应用池、计划任务或是本机支持的 gMSA 或 sMSA,则它们可以使用 gMSA 或 sMSA。
5)对于 Windows Server 2012,Windows PowerShell cmdlet 默认为 gMSA 帐户,而不是 sMSA 帐户。
6)使用应用服务器的本地服务账户时,按以下优先级使用服务账户:
gMSA → sMSA → 计算机账户 → 用户账户
2、系统需求
1)已扩展 Active Directory Schema 至 Windows Server 2012:
CN=Schema,CN=Configuration,DC=nwtraders,DC=msft
objectVersion = 52
2)至少存在 1 台 Windows Server 2012 计算机已安装 Active Directory PowerShell 模块,以创建或管理 gMSA。
3)至少存在 1 台 Windows Server 2012 计算机运行或使用 gMSA。
3、适合场景
- 与 sMSA 相同的 API,以便支持 sMSA 的产品将支持 gMSA。
- 使用 service.msc 管理单元配置登录标识的服务。
- 使用 IIS 管理器 Application Pools 配置配置标识的服务。
- 使用 Task Scheduler 配置的任务。